Habilitar el autoservicio de restablecimiento de contraseña de Microsoft Entra en la pantalla de inicio de sesión de Windows

  • Artículo

El autoservicio de restablecimiento de contraseña (SSPR) ofrece a los usuarios de Microsoft Entra ID la posibilidad de cambiar o restablecer su contraseña, sin necesidad de que intervengan el administrador ni el departamento de soporte técnico. Normalmente, los usuarios abren un explorador web en otro dispositivo para acceder al portal de SSPR. Para mejorar la experiencia en equipos que ejecutan Windows 7, 8, 8.1, 10 y 11, puede permitir que los usuarios restablezcan su contraseña en la pantalla de inicio de sesión de Windows.

Example Windows login screens with SSPR link shown

Importante

En este tutorial se muestra a un administrador cómo habilitar SSPR para dispositivos Windows en una empresa.

Si el equipo de TI no ha habilitado la capacidad de usar SSPR desde un dispositivo Windows o si tiene problemas para iniciar sesión, póngase en contacto con el departamento de soporte técnico para obtener ayuda adicional.

Limitaciones generales

Las siguientes limitaciones se aplican al uso de SSPR desde la pantalla de inicio de sesión de Windows:

  • El restablecimiento de contraseña no se admite actualmente desde Escritorio remoto ni sesiones mejoradas de Hyper-V.
  • Se sabe que algunos proveedores de credenciales externos provocan problemas con esta característica.
  • Se sabe que la deshabilitación de UAC mediante la modificación de la clave del registro EnableLUA provoca problemas.
  • Esta característica no funciona para las redes con la autenticación de red 802.1x implementada y la opción "Realizar inmediatamente antes de que el usuario inicie sesión". Para las redes con la autenticación de red 802.1X implementada se recomienda usar la autenticación del equipo para habilitar esta característica.
  • Las máquinas unidas a Microsoft Entra de tipo híbrido deben tener una línea de visión de conectividad de red a un controlador de dominio para usar las nuevas credenciales en caché de contraseña y actualización. Esto significa que los dispositivos deben estar en la red interna de la organización o en una VPN con acceso de red a un controlador de dominio local.
  • Si se usa una imagen, antes de ejecutar sysprep, asegúrese de que se borra la caché web para la cuenta predefinida de administrador antes de realizar el paso de CopyProfile. Puede encontrar más información sobre este paso en el artículo de soporte técnico Rendimiento deficiente cuando se usa el perfil de usuario predeterminado personalizado.
  • Se sabe que los valores siguientes interfieren con la capacidad de usar y restablecer contraseñas en dispositivos con Windows 10:
    • Si las notificaciones de la pantalla de bloqueo están desactivadas, tampoco funcionará Restablecer contraseña.
    • HideFastUserSwitching está establecido en habilitado o 1.
    • DontDisplayLastUserName está establecido en habilitado o 1.
    • NoLockScreen está establecido en habilitado o 1.
    • BlockNonAdminUserInstall está establecido en habilitado o 1.
    • EnableLostMode se establece en el dispositivo.
    • Explorer.exe se reemplaza por un shell personalizado
    • Inicio de sesión interactivo: requerir tarjeta inteligente está establecido en habilitado o 1
  • La combinación de las tres configuraciones específicas siguientes puede hacer que esta característica no funcione.
    • Inicio de sesión interactivo: no requerir CTRL+ALT+SUPR = Deshabilitado (solo para Windows 10 versión 1710 y anteriores)
    • DisableLockScreenAppNotifications = 1 o Habilitado
    • Windows SKU es Home Edition

Nota:

Estas limitaciones también se aplican al restablecimiento del PIN de Windows Hello para empresas desde la pantalla de bloqueo del dispositivo.

Restablecimiento de contraseña de Windows 11 y 10

Para configurar un dispositivo con Windows 11 o 10 para SSPR en la pantalla de inicio de sesión, revise los requisitos previos y pasos de configuración a continuación.

Requisitos previos de Windows 11 y 10

Habilitación para Windows 11 y 10 mediante Microsoft Intune

La implementación de cambios de configuración para habilitar SSPR desde la pantalla de inicio de sesión mediante Microsoft Intune es el método más flexible. Microsoft Intune le permite implementar el cambio de configuración en un grupo específico de máquinas que defina. Este método requiere la inscripción en Microsoft Intune del dispositivo.

Creación de una directiva de configuración de dispositivos en Microsoft Intune

  1. Inicie sesión en el Centro de administración de Microsoft Intune.

  2. Cree un nuevo perfil de configuración de dispositivo; para ello, vaya a Configuración del dispositivo>Perfiles, a continuación, seleccione + Crear perfil.

    • En Plataforma, elija Windows 10 y versiones posteriores.
    • En Tipo de perfil, elija Plantillas y, a continuación, seleccione la plantilla personalizada siguiente

  3. Seleccione Crear y escriba un nombre descriptivo para el perfil, como SSPR en la pantalla de inicio de sesión de Windows 11.

    Opcionalmente, escriba una descripción detallada del perfil y seleccione Siguiente.

  4. En Opciones de configuración, seleccione Agregar y proporcione la siguiente configuración OMA-URI para habilitar el vínculo de restablecimiento de contraseña:

    • Escriba un nombre descriptivo para explicar lo que hace la opción, como Agregar vínculo de SSPR.
    • De manera opcional, escriba una descripción detallada de la opción.
    • OMA-URI establecido en ./Device/Vendor/MSFT/Policy/Config/Authentication/AllowAadPasswordReset
    • Tipo de datos establecido en Entero
    • Valor establecido en 1

    Seleccione Agregar y, luego, Siguiente.

  5. La directiva se puede asignar a usuarios, dispositivos o grupos específicos. Asigne primero el perfil que desee para su entorno, idealmente a un grupo de prueba de dispositivos y, a continuación, seleccione Siguiente.

    Para más información, consulte Asignación de perfiles de usuario y de dispositivo en Microsoft Intune.

  6. Configure las reglas de aplicabilidad como desee para su entorno, por ejemplo, para Assign profile if OS edition is Windows 10 Enterprise (Asignar perfil si la edición del SO es Windows 10 Enterprise) y, después, seleccione Siguiente.

  7. Revise el perfil y seleccione Crear.

Habilitación para Windows 11 y 10 con el Registro

Para habilitar SSPR en la pantalla de inicio de sesión mediante una clave del registro, siga los pasos a continuación:

  1. Inicie sesión en el equipo Windows con credenciales administrativas

  2. Presione Windows + R para abrir el cuadro de diálogo Ejecutar y, a continuación, ejecute regedit como administrador.

  3. Establezca la siguiente clave del Registro:

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\AzureADAccount
   "AllowPasswordReset"=dword:00000001

Solución de problemas de restablecimiento de contraseña de Windows 11 y 10

Si tiene problemas con el uso de SSPR desde la pantalla de inicio de sesión de Windows, el registro de auditoría de Microsoft Entra incluye información sobre la dirección IP y el elemento ClientType donde se produjo el restablecimiento de la contraseña, como se muestra en la siguiente salida de ejemplo:

Example Windows 7 password reset in the Microsoft Entra audit log

Cuando los usuarios restablecen su contraseña desde la pantalla de inicio de sesión de un dispositivo con Windows 11 o 10, se crea una cuenta temporal con pocos privilegios denominada defaultuser1. Esta cuenta se usa para proteger el proceso de restablecimiento de contraseña.

La propia cuenta tiene una contraseña generada aleatoriamente, que se valida con una directiva de contraseñas de organizaciones, no se muestra para el inicio de sesión del dispositivo y se quita automáticamente después de que el usuario restablezca su contraseña. Pueden existir varios perfiles defaultuser, pero se pueden omitir con seguridad.

Configuraciones de proxy para restablecer la contraseña Windows

Durante el restablecimiento de contraseña, SSPR crea una cuenta de usuario local temporal para conectarse a https://passwordreset.microsoftonline.com/n/passwordreset. Cuando se configura un proxy para la autenticación de usuario, puede producirse el error «Algo salió mal. Inténtelo de nuevo más adelante». Esto se debe a que la cuenta de usuario local no está autorizada para usar el proxy autenticado.

En este caso, puede usar una de las siguientes soluciones alternativas:

  • Configure los ajustes de proxy para todo el equipo que no dependa del tipo de usuario que haya iniciado sesión en la máquina. Por ejemplo, puede habilitar la configuración del proxy de la directiva de grupo por máquina (en lugar de por usuario) para las estaciones de trabajo.

  • También puede usar la configuración Per-User proxy para SSPR si modifica la plantilla del Registro para la cuenta predeterminada. Los comandos son los siguientes:

    reg load "hku\Default" "C:\Users\Default\NTUSER.DAT"
reg add "hku\Default\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyEnable /t REG_DWORD /d "1" /f
reg add "hku\Default\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyServer /t REG_SZ /d "<your proxy:port>" /f
reg unload "hku\Default"

  • El error «Algo salió mal» también puede producirse cuando algo interrumpe la conectividad a la dirección URL https://passwordreset.microsoftonline.com/n/passwordreset. Por ejemplo, este error puede producirse cuando el software antivirus se ejecuta en la estación de trabajo sin exclusiones para las direcciones URL passwordreset.microsoftonline.com, ajax.aspnetcdn.comy ocsp.digicert.com. Deshabilite este software temporalmente para probar si el problema se resuelve o no.

Restablecimiento de contraseña de Windows 7, 8 y 8.1

Para configurar un dispositivo con Windows 7, 8 u 8.1 para SSPR en la pantalla de inicio de sesión, revise los requisitos previos y pasos de configuración a continuación.

Requisitos previos de Windows 7, 8 y 8.1

Advertencia

Se debe habilitar TLS 1.2, no hay solo que establecerla en negociación automática.

Instalar

En Windows 7, 8 y 8,1, se debe instalar un componente pequeño en la máquina para habilitar SSPR en la pantalla de inicio de sesión. Para instalar este componente de SSPR, complete los pasos siguientes:

  1. Descargue el instalador adecuado para la versión de Windows que desea habilitar.

    El instalador de software está disponible en el centro de descarga de Microsoft en https://aka.ms/sspraddin

  2. Inicie sesión en la máquina donde desea instalar y ejecutar el instalador.

  3. Después de la instalación, se recomienda encarecidamente reiniciar el equipo.

  4. Después del reinicio, en la pantalla de inicio de sesión, elija un usuario y seleccione "¿Olvidó la contraseña?" para iniciar el flujo de trabajo de restablecimiento de la contraseña.

  5. Complete el flujo de trabajo siguiendo los pasos que aparecen en la pantalla para restablecer su contraseña.

Example Windows 7 clicked

Instalación silenciosa

El componente de SSPR se puede instalar o desinstalar sin avisos mediante los siguientes comandos:

  • Para una instalación silenciosa, use el comando "msiexec /i SsprWindowsLogon.PROD.msi /qn".
  • Para una desinstalación silenciosa, use el comando "msiexec /x SsprWindowsLogon.PROD.msi /qn".

Solución de problemas de restablecimiento de contraseña de Windows 7, 8 y 8.1

Si tiene problemas con el uso de SSPR desde la pantalla de inicio de sesión de Windows, los eventos se registran tanto en la máquina como en Microsoft Entra ID. Los eventos de Microsoft Entra incluyen información sobre la dirección IP y el elemento ClientType donde se produjo el restablecimiento de contraseña, como se muestra en la salida de ejemplo siguiente:

Example Windows 7 password reset in the Microsoft Entra audit log

Si se requiere un registro adicional, se puede cambiar una clave del Registro en la máquina para habilitar el registro detallado. Habilite el registro detallado para la solución de problemas únicamente con el siguiente valor de clave del Registro:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers\{86D2F0AC-2171-46CF-9998-4E33B3D7FD4F}
  • Para habilitar el registro detallado, cree un REG_DWORD: "EnableLogging" y establézcalo en 1.
  • Para deshabilitar el registro detallado, cambie REG_DWORD: "EnableLogging" a 0.
  • Revise el registro de depuración en el registro de eventos de Application en el origen AADPasswordResetCredentialProvider.

Lo que ven los usuarios

Con SSPR configurado para los dispositivos Windows, ¿qué cambia para el usuario? ¿Cómo sabe que puede restablecer su contraseña en la pantalla de inicio de sesión? Las capturas de pantallas de ejemplo siguientes muestran las opciones adicionales para que un usuario restablezca su contraseña mediante SSPR:

Example Windows 7 and 10 login screens with SSPR link shown

Cuando los usuarios intenten iniciar sesión, verán un vínculo Restablecer contraseña o ¿Olvidó la contraseña? que abre la experiencia de autoservicio de restablecimiento de contraseña en la pantalla de inicio de sesión. Esta funcionalidad permite a los usuarios restablecer su contraseña sin tener que usar otro dispositivo para acceder a un explorador web.

Los usuarios pueden encontrar más información sobre el uso de esta característica en Restablecimiento de la contraseña profesional o educativa.

Pasos siguientes

Para simplificar la experiencia de registro de usuarios, puede rellenar previamente la información de contacto de autenticación de usuario para SSPR.